Este documento fornece uma arquitetura de referência que pode ser usada para implantar uma topologia de rede hub e spoke da Rede entre nuvens em Google Cloud. Esse design de rede permite a implantação de serviços de software em Google Cloud e redes externas, como data centers locais ou outros provedores de serviços de nuvem (CSPs).
Esse design é compatível com várias conexões externas, várias redes VPC de acesso a serviços e várias redes VPC de carga de trabalho.
O público-alvo deste documento são administradores de rede que criam conectividade de rede e arquitetos de nuvem que planejam como as cargas de trabalho são implantadas. Ele pressupõe que você tenha uma compreensão básica de roteamento e conectividade com a Internet.
Arquitetura
O diagrama a seguir mostra uma visão geral da arquitetura das redes e dos quatro fluxos de pacotes que ela oferece suporte.
A arquitetura contém os seguintes elementos de alto nível:
| Componente | Finalidade | Interações |
|---|---|---|
| Redes externas (no local ou de outro CSP) | Hospeda os clientes de cargas de trabalho executadas nas VPCs de carga de trabalho e nas VPCs de acesso a serviços. As redes externas também podem hospedar serviços. | Troca dados com as redes de nuvem privada virtual do Google Cloudpela rede de trânsito. Conecta-se à rede de trânsito usando o Cloud Interconnect ou a VPN de alta disponibilidade. Encerra uma extremidade dos seguintes fluxos:
|
| Rede VPC de trânsito | Atua como um hub para a rede externa, a rede VPC de acesso a serviços e as redes VPC de carga de trabalho. | Conecta a rede externa, a rede VPC de acesso a serviços e as redes VPC de carga de trabalho usando uma combinação de Cloud Interconnect, VPN de alta disponibilidade e peering de rede VPC. |
| Rede VPC de acesso a serviços | Fornece acesso aos serviços necessários para cargas de trabalho em execução nas redes VPC de carga de trabalho ou em redes externas. Também fornece pontos de acesso a serviços gerenciados hospedados em outras redes. | Troca dados com as redes externas e de carga de trabalho pela rede de trânsito. Conecta-se à VPC de trânsito usando a VPN de alta disponibilidade. O roteamento transitivo fornecido pela VPN de alta disponibilidade permite que o tráfego externo alcance as VPCs de serviços gerenciados pela rede VPC de acesso a serviços. Encerra uma extremidade dos seguintes fluxos:
|
| Rede VPC de serviços gerenciados | Hospeda serviços gerenciados necessários para clientes em outras redes. | Troca dados com as redes externas, de acesso a serviços e de carga de trabalho. Conecta-se à rede VPC de acesso a serviços usando o acesso a serviços particulares, que usa o peering de rede VPC, ou o Private Service Connect. Encerra uma extremidade dos fluxos de todas as outras redes. |
| Redes VPC de carga de trabalho | Hospeda cargas de trabalho necessárias para clientes em outras redes. | Troca dados com as redes VPC externas e de acesso a serviços pela rede VPC de trânsito. Conecta-se à rede de trânsito usando o peering de rede VPC. Conecta-se a outras redes VPC de carga de trabalho usando spokes VPC do Network Connectivity Center. Encerra uma extremidade dos seguintes fluxos:
|
O diagrama a seguir mostra uma visão detalhada da arquitetura que destaca as quatro conexões entre as redes:
Descrições de conexões
Esta seção descreve as quatro conexões mostradas no diagrama anterior.
Conexão 1: entre redes externas e a rede VPC de trânsito
Essa conexão entre redes externas e redes VPC de trânsito acontece pelo Cloud Interconnect ou pela VPN de alta disponibilidade. As rotas são trocadas usando o BGP entre os Cloud Routers na rede VPC de trânsito e os roteadores externos na rede externa.
- Os roteadores em redes externas anunciam as rotas para sub-redes externas aos Cloud Routers da VPC de trânsito. Em geral, os roteadores externos em um determinado local anunciam rotas do mesmo local externo como mais preferenciais do que rotas para outros locais externos. A preferência das rotas pode ser expressa usando métricas e atributos do BGP.
- Os Cloud Routers na rede VPC de trânsito anunciam rotas para prefixos nas VPCs de Google Cloudpara as redes externas. Essas rotas precisam ser anunciadas usando anúncios de rota personalizados do Cloud Router.
Conexão 2: entre redes VPC de trânsito e redes VPC de acesso a serviços
Essa conexão entre as redes VPC de trânsito e as VPCs de acesso a serviços acontece por VPN de alta disponibilidade com túneis separados para cada região. As rotas são trocadas usando o BGP entre os Cloud Routers regionais nas redes VPC de trânsito e as redes VPC de acesso a serviços.
- VPN de alta disponibilidade da VPC de trânsito Os Cloud Routers anunciam rotas para prefixos de rede externa, VPCs de carga de trabalho e outras VPCs de acesso a serviços para o Cloud Router da VPC de acesso a serviços. Essas rotas precisam ser anunciadas usando anúncios de rota personalizada do Cloud Router.
- A rede VPC de acesso a serviços anuncia as sub-redes dela e as sub-redes de todas as redes VPC de serviços gerenciados anexadas à rede VPC de trânsito. As rotas da VPC de serviços gerenciados e da sub-rede VPC de acesso a serviços precisam ser anunciadas usando anúncios de rota personalizados do Cloud Router.
Conexão 3: entre redes VPC de trânsito e redes VPC de carga de trabalho
Essa conexão entre as redes VPC de trânsito e as redes VPC de carga de trabalho é implementada por peering de VPC. As sub-redes e as rotas de prefixo são trocadas usando mecanismos de peering de VPC. Essa conexão permite a comunicação entre as redes VPC de carga de trabalho e as outras redes conectadas à rede VPC de trânsito, incluindo as redes externas e as redes VPC de acesso a serviços.
- A rede VPC de trânsito usa o peering de rede VPC para exportar rotas personalizadas. Essas rotas personalizadas incluem todas as rotas dinâmicas aprendidas pela rede VPC de trânsito. As redes VPC de carga de trabalho importam essas rotas personalizadas.
- A rede VPC de carga de trabalho exporta automaticamente as sub-redes para a rede VPC de trânsito. Nenhuma rota personalizada é exportada das VPCs de carga de trabalho para a VPC de trânsito.
Conexão 4: entre redes VPC de carga de trabalho
- As redes VPC de carga de trabalho podem ser conectadas usando spokes VPC do Network Connectivity Center. Essa é uma configuração opcional. É possível omitir esse campo se você não quiser que as redes VPC de carga de trabalho se comuniquem entre si.
Fluxos de tráfego
O diagrama a seguir mostra os quatro fluxos ativados por essa arquitetura de referência.
A tabela a seguir descreve os fluxos no diagrama:
| Origem | Destino | Descrição |
|---|---|---|
| Rede externa | Rede VPC de acesso a serviços |
|
| Rede VPC de acesso a serviços | Rede externa |
|
| Rede externa | Rede VPC de carga de trabalho |
|
| Rede VPC de carga de trabalho | Rede externa |
|
| Rede VPC de carga de trabalho | Rede VPC de acesso a serviços |
|
| Rede VPC de acesso a serviços | Rede VPC de carga de trabalho |
|
| Rede VPC de carga de trabalho | Rede VPC de carga de trabalho | O tráfego que sai de uma VPC de carga de trabalho segue a rota mais específica para a outra VPC de carga de trabalho pelo Network Connectivity Center. O tráfego de retorno inverte esse caminho. |
Produtos usados
Esta arquitetura de referência usa os seguintes produtos Google Cloud :
- Nuvem privada virtual: um sistema virtual que oferece funcionalidade de rede global e escalonável para suas cargas de trabalho do Google Cloud . A VPC inclui o peering de rede VPC, o Private Service Connect, o acesso a serviços particulares e a VPC compartilhada.
- Network Connectivity Center: um framework de orquestração que simplifica a conectividade de rede entre recursos spoke conectados a um recurso de gerenciamento central chamado hub.
- Cloud Interconnect: um serviço que estende sua rede externa para a rede do Google por meio de uma conexão de alta disponibilidade e baixa latência.
- Cloud VPN: um serviço que estende com segurança sua rede de peering para a rede do Google por um túnel de VPN IPsec.
- Cloud Router: uma oferta distribuída e totalmente gerenciada que oferece recursos de resposta a incidentes e alto-falante do Border Gateway Protocol (BGP). O Cloud Router funciona com o Cloud Interconnect, o Cloud VPN e os roteadores para criar rotas dinâmicas em redes VPC com base em rotas recebidas pelo BGP e aprendidas de forma personalizada.
Considerações sobre o design
Nesta seção, descrevemos fatores de design, práticas recomendadas e recomendações de design que você precisa considerar ao usar essa arquitetura de referência para desenvolver uma topologia que atenda aos seus requisitos específicos de segurança, confiabilidade e desempenho.
Segurança e compliance
A lista a seguir descreve as considerações de segurança e compliance para essa arquitetura de referência:
- Por motivos de compliance, talvez você queira implantar cargas de trabalho em uma única região. Se você quiser manter todo o tráfego em uma única região, use uma topologia de 99,9%. Para mais informações, consulte Estabelecer 99,9% de disponibilidade para a Interconexão dedicada e Estabelecer 99,9% de disponibilidade para a Interconexão por parceiro.
- Use o Cloud Next Generation Firewall para proteger o tráfego que entra e sai das redes VPC de acesso a serviços e de carga de trabalho. Para proteger o tráfego que passa entre redes externas e a rede de trânsito, use firewalls externos ou de NVA.
- Ative a geração de registros e o monitoramento conforme apropriado para suas necessidades de tráfego e conformidade. É possível usar os registros de fluxo de VPC para gerar insights sobre seus padrões de tráfego.
- Use o Cloud IDS para reunir mais insights sobre seu tráfego.
Confiabilidade
A lista a seguir descreve as considerações de confiabilidade para esta arquitetura de referência:
- Para ter 99,99% de disponibilidade do Cloud Interconnect, você precisa se conectar a duas regiões Google Cloud diferentes.
- Para melhorar a confiabilidade e minimizar a exposição a falhas regionais, distribua cargas de trabalho e outros recursos da nuvem em várias regiões.
- Para processar o tráfego esperado, crie um número suficiente de túneis de VPN. Os túneis VPN individuais têm limites de largura de banda.
Otimização de desempenho
A lista a seguir descreve as considerações de desempenho para esta arquitetura de referência:
- É possível melhorar o desempenho da rede aumentando a unidade máxima de transmissão (MTU) das suas redes e conexões. Para mais informações, consulte Unidade de transmissão máxima.
- A comunicação entre a rede VPC de trânsito e os recursos de carga de trabalho é feita por peering de rede VPC, que oferece capacidade de processamento de taxa de linha completa para todas as VMs na rede sem custo adicional. Considere as cotas e os limites do peering de rede VPC ao planejar sua implantação. Você tem várias opções para conectar sua rede externa à rede de trânsito. Para mais informações sobre como equilibrar considerações de custo e desempenho, consulte Como escolher um produto de conectividade de rede.
Implantação
A arquitetura neste documento cria três conjuntos de conexões com uma rede VPC de trânsito central e uma conexão diferente entre redes VPC de carga de trabalho. Depois que todas as conexões estiverem totalmente configuradas, todas as redes na implantação poderão se comunicar entre si.
Essa implantação pressupõe que você está criando conexões entre as redes externa e de trânsito em duas regiões. No entanto, as sub-redes de carga de trabalho podem estar em qualquer região. Se você estiver colocando cargas de trabalho em apenas uma região, só precisará criar sub-redes nessa região.
Para implantar essa arquitetura de referência, conclua as seguintes tarefas:
- Identificar regiões para colocar conectividade e cargas de trabalho
- Crie suas redes e sub-redes VPC
- Criar conexões entre redes externas e sua rede VPC de trânsito
- Criar conexões entre a rede VPC de trânsito e as redes VPC de acesso a serviços
- Crie conexões entre a rede VPC de trânsito e as redes VPC de carga de trabalho
- Conecte suas redes VPC de carga de trabalho
- Testar a conectividade com cargas de trabalho
Identificar regiões para colocar conectividade e cargas de trabalho
Em geral, é recomendável colocar a conectividade e as cargas de trabalho Google Cloud perto das redes locais ou de outros clientes de nuvem. Para mais informações sobre como colocar cargas de trabalho, consulte o Google Cloud Seletor de região e Práticas recomendadas para a seleção de regiões do Compute Engine.
Criar redes e sub-redes VPC
Para criar redes e sub-redes VPC, conclua as seguintes tarefas:
- Crie ou identifique os projetos em que você vai criar as redes VPC. Para orientações, consulte Segmentação de rede e estrutura do projeto. Se você pretende usar redes de VPC compartilhada, provisione seus projetos como projetos host de VPC compartilhada.
- Planeje as alocações de endereços IP para suas redes. É possível pré-alocar e reservar seus intervalos criando intervalos internos. Alocar blocos de endereços que podem ser agregados facilita a configuração e as operações posteriores.
- Crie uma VPC de rede de trânsito com o roteamento global ativado.
- Crie redes VPC de serviço. Se você tiver cargas de trabalho em várias regiões, ative o roteamento global.
- Crie redes VPC de carga de trabalho. Se você tiver cargas de trabalho em várias regiões, ative o roteamento global.
Criar conexões entre redes externas e sua rede VPC de trânsito
Esta seção pressupõe conectividade em duas regiões e que os locais externos estão conectados e podem fazer failover entre si. Também pressupõe que há uma preferência para que os clientes no local externo A alcancem serviços na região A e assim por diante.
- Configure a conectividade entre as redes externas e sua rede de trânsito. Para entender como pensar sobre isso, consulte Conectividade externa e híbrida. Para orientações sobre como escolher um produto de conectividade, consulte Como escolher um produto de conectividade de rede.
- Configure o BGP em
cada região conectada da seguinte maneira:
- Configure o roteador no local externo especificado da seguinte maneira:
- Anuncie todas as sub-redes desse local externo usando a mesma MED do BGP nas duas interfaces, como 100. Se as duas interfaces anunciarem o mesmo MED, o Google Cloud poderá usar o ECMP para balancear a carga do tráfego nas duas conexões.
- Anuncie todas as sub-redes do outro local externo usando um MED de prioridade menor do que o da primeira região, como 200. Anuncie o mesmo MED nas duas interfaces.
- Configure o Cloud Router externo na VPC de trânsito da região conectada da seguinte maneira:
- Defina o ASN do Cloud Router como 16550.
- Usando divulgações de rota personalizadas, anuncie todos os intervalos de sub-rede de todas as regiões nas duas interfaces do Cloud Router voltadas para o ambiente externo. Agregue-os, se possível. Use o mesmo MED nas duas interfaces, como 100.
- Configure o roteador no local externo especificado da seguinte maneira:
Crie conexões entre a rede VPC de trânsito e as redes VPC de acesso a serviços
Para fornecer roteamento transitivo entre redes externas e a VPC de acesso a serviços e entre VPCs de carga de trabalho e a VPC de acesso a serviços, a VPC de acesso a serviços usa a VPN de alta disponibilidade para conectividade.
- Estime quanto tráfego precisa viajar entre as VPCs de trânsito e de acesso a serviços em cada região. Ajuste o número esperado de túneis de acordo com isso.
- Configure uma VPN de alta disponibilidade entre a VPC de trânsito e a VPC de acesso a serviços na região A usando as instruções em Criar gateways de VPN de alta disponibilidade para conectar redes VPC. Crie um Cloud Router de VPN de alta disponibilidade dedicado na rede de trânsito. Deixe o roteador voltado para a rede externa para conexões de rede externa.
- Configuração do Cloud Router da VPC de trânsito:
- Para anunciar sub-redes de VPC de carga de trabalho e de rede externa à VPC de acesso a serviços, use divulgações de rota personalizadas no Cloud Router da VPC de trânsito.
- Configuração do Cloud Router da VPC de acesso a serviços:
- Para anunciar sub-redes VPC de acesso a serviços para a VPC de trânsito, use anúncios de rota personalizados no Cloud Router da VPC de acesso a serviços.
- Se você usar o acesso a serviços particulares para conectar uma VPC de serviços gerenciados à VPC de acesso a serviços, use rotas personalizadas para anunciar essas sub-redes também.
- Configuração do Cloud Router da VPC de trânsito:
- Se você conectar uma VPC de serviços gerenciados à VPC de acesso a serviços usando o acesso a serviços particulares, depois que a conexão de peering de rede VPC for estabelecida, atualize o lado da VPC de acesso a serviços da conexão de peering de rede VPC para exportar rotas personalizadas.
Crie conexões entre a rede VPC de trânsito e as redes VPC de carga de trabalho
Crie conexões de peering de rede VPC entre a VPC de trânsito e cada uma das VPCs de carga de trabalho:
- Ative a opção Exportar rotas personalizadas para o lado da VPC de trânsito de cada conexão.
- Ative a opção Importar rotas personalizadas no lado da VPC de carga de trabalho de cada conexão.
- No cenário padrão, apenas as rotas de sub-rede da VPC de carga de trabalho são exportadas para a VPC de trânsito. Não é necessário exportar rotas personalizadas das VPCs de carga de trabalho.
Conecte suas redes VPC de carga de trabalho
Conecte as redes VPC de carga de trabalho usando spokes de VPC do Network Connectivity Center. Faça com que todos os spokes façam parte do mesmo grupo de peers de spoke do Network Connectivity Center. Use um grupo de peers principais para permitir a comunicação de malha completa entre as VPCs.
A conexão do Network Connectivity Center anuncia rotas específicas entre as redes VPC da carga de trabalho. O tráfego entre essas redes segue essas rotas.
Testar a conectividade com cargas de trabalho
Se você já tiver cargas de trabalho implantadas nas redes VPC, teste o acesso a elas agora. Se você conectou as redes antes de implantar as cargas de trabalho, faça isso agora e teste.
A seguir
- Saiba mais sobre os produtos do Google Cloud usados neste guia de design:
- Para mais arquiteturas de referência, diagramas e práticas recomendadas, confira a Central de arquitetura do Cloud.
Colaboradores
Autores:
- Deepak Michael | Engenheiro de clientes especialista em rede
- Victor Moreno | Gerente de produtos, Cloud Networking
- Osvaldo Costa | Engenheiro de clientes especialista em rede
Outros colaboradores:
- Mark Schlagenhauf | Redator técnico, Rede
- Ammett Williams | Engenheiro de relações com desenvolvedores
- Ghaleb Al-habian | Especialista em rede